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Ausqehend von den Problemen und Nachteilen des Standes der 
Technik liegt der Erfindung die Aufgabe zugrunde, eine Anord- 
nung der eingangs genannten Art zu schaffen, welche hochsten 
Anforderungen der Manipulationssicherheit genugt und gleich- 
zeitig eine Eignung fur die Serienproduktion bei geringeren 
Kosten aufweist. 

Die erf indungsgemafre Aufgabe wird mittels eines integrierten 
Schaltkreises der eingangs genannten Art gelost, welcher eine 
Verschlusselungseinheit als Funktipnsmodul umfasst, mittels 
derer Daten oder Programmcode verschlusselbar und entschliis- 
selbar sind. 

Dadurch,, dass eine Verschlusselungseinheit als Funkfcionsmodul 
des integrierten Schaltkreises Element dieses Bauteiles ist, 
kann in der Fertigung und Entwicklung einer Anordnung mit ei- 
nem erf indungsgemaften integrierten Schaltkreis die zusatzli- 
che Bereitstellung, Montage und Abstimmung auf umliegende 
Bauelemente eingespart werden. In synergetischer Weise ergibt 
sich der weitere groBe Vorteil, dass die Verschlusselungsein- 
heit von dem integrierten Schaltkreis, dessen Bestandteil sie 
ist, nur schwer zu trennen ist und daher Versuche der Manipu- 
lation zum Scheitern verurteilt sind. 

Die Manipulation eines erf indungsgemalien integrierten Schalt- 
kreises, insbesondere die Abtrennung einzelner Funkticnsmodu- 
le, gestaltet sich besonders schwierig, wenn der integrierte 
Schaltkreis als Halbleiterchip ausgebildet ist, insbesondere, 
wenn einzelne Funktionsmodule puzzleartig ineinander greifen, 
in einer Weise, dass einzelne Funktionsmodule diskret nicht 
mehr erkennbar sind. Hier konnen besonders komplexe geomecri- 
sche Verstrickungen gewahlt werden, so dass die miteinander 
vermischten Halbleiterstrukturen sich mittels einer Analyse 
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in Manipulationsabsicht nicht mehr als solche trennbar erken- 
nen lassen, 

Zusatzliche Sicherheit gegen Manipulation wird gewonnen, wenn 
die Funktionsmodule einen ersten Speicher umfassen, in wel- 
chem kryptologische Schlussel abgespeichert sind. Die Integ- 
ration eines solchen ersten Speichers erschwert einen geziel- 
ten Zugriff und ein gezieltes Auslesen der kryptologischen 
Schlussel. 

Der Aufwand fur eine Verwaltung kryptologischer Schlussel 
durch den Hersteller der Gerate entfallt vollstandig bei zu- 
satzlichem Sicherheitsgewinn, wenn die Funktionsmodule einen 
Zufallszahlengenerator (RNG) umfassen, der die kryptologi- 
schen Schlussel gleichsam autonom erzeugt. Diese Schlussel 
konnen zweckmaftig in dem ersten Speicher abgelegt werden. 

Mit Vorteil kann als weiteres Funktionsmodul eine Real-Time- 
Clock in den integrierten Schaltkreis eingegliedert warden, 
deren korrekte Funktion ebenfalls hohe Relevanz fur die Si- 
cherheit gegen Manipulation hat. 

Damit der Manipulat ionsangrif f nicht nur erschwert, sondcrn 
unmoglich gemacht wird, kann mit Vorteil eine Sicherheit ssen- 
sorik in dem Schaltkreis als Funktionsmodul integriert wer- 
den, mittels derer mindestens ein Betriebsparameter des in- 
tegrierten Schaltkreises iiberwachbar ist. Geeignete Betriebs 
parameter fur die Uberwachung sind beispielsweise die Takt- 
frequenz der Real-Time-Clock, der System- bzw. C?U-Takt, ode 
eine Betriebstemperatur , oder eine Betriebsspannung des in- 
tegrierten Schaltkreises, oder der Zustand einer Schutz- 
schicht auf dem integrierten Schaltkreis, oder eine Kombina- 
tion der vorgenannten Betriebsparameter. 1st der integrierte 
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Schaltkreis als Halbleiterbauelement ausgebildet , so ist die 
Uberwachung des Zustandes einer Schutzschicht auf dem integ- 
rierten Schaltkreis besonders effektiv, da die Schutzschicht 
zerstort werden muss, urn mechanisch auf der Struktur des 
5 Halbleiterchips zuzugreifen. Hierbei ist es zweckraaftig, wenn 
die Schutzschicht als aktive Schutzschicht ausgebildet und 
direkt auf dem Die des Halbleiterchips aufgebracht ist. Sine 
zweckmafiige Weiterbildung sieht vor, dass die aktive Schutz- 
schicht aus mindestens einer langlichen elektrischen Leitung 
10 besteht, welche entlang der Oberflache des Dies, insbesondere 
abschnittsweise in untereinander parallelen Bahnen verlauft. 
Die Uberwachung kann beispielsweise eine Uberwachung des ohm- 
schen Widerstands der elektrischen Leitung sein, wobei zweck- 
maftig eine Anderung des Widerstandswertes , die auf eine Zer- 
15 storung der elektrischen Leitung schlieften lasst, eine L6- 
schung der zu schutzenden Daten bewirkt . Vorzugsweise wird 
der Mikrocontroller in einen gesicherten Zustand, beispiels- 
weise Reset, uberfuhrt. Auf diese Weise wird das System "in- 
tegrierter Schaltkreis" nach der Erfindung vergleichsweise 
20 eigensicher. ^ 

Zweckmafiig gestaltet sich die Uberwachung des Betriebsparame- 
ters in der Weise, dass mindestens ein Grenzwert fur den zu 
uberwachenden Betriebsparameter vorgegeben ist, der Beferiebs- 
25 parameter gemessen und mit dem Grenzwert verglichen wird und 
bei einem Uberschreiten oder Unterschreiten des Grenzwertes 
der Inhalt des ersten Speichers gelbscht wird. Zweckmaftig ist 
der Grenzwert so zu wahlen, dass die Vorgaben des Normalbe- 
triebs nicht zu einer Funktionsunterbrechung der Anordnung 
30 fuhren, beispielsweise im Automotive-Bereich bei einer Tempe- 
ratur yon -40 *C noch keine Loschung der Daten erfolgt. 
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Die Handhabbarkeit und Sicherheit des erf indungsgemaJJen in- 
tegrierten Schalt kreises erhoht sich zusatzlich, wenn er in 
einem Gehause angeordnet ist und aus dem Gehause herausge- 
fuhrte Anschlusskontakte aufweist. Zum Zweck einer mechani- 
5 schen Manipulation musste demgemafi zunachst das Gehause ge- 
off net werden. 

Eine hohere Integration des erf indungsgemafien Schalt kreises 
kann erreicht werden, wenn einzelne Funktionsmodule eine irn 
10 Wesentlichen flachige Erstreckung aufweisen .und in Richtung 
der Flachennormalen benachbart zueinander angeordnet sind. So 
kann zum Beispiel die zentrale Verarbeitungseinheit gestapelt 
mit verschiedenen Speichern oder anderen Funktionsmodulen an- 
geordnet werden. 
15 

Mit Vorteil konnen Angriffe, die Ruckschlusse auf den Funkti- 
onszustand aus dem Verhalten des Versorgungsstromes des in- 
tegrierten Schaltkreises schliefren, abgewehrt werden, wenn 
die Funktionsmodule einen integrierten Spannungsregler umfas- 
20 sen, der die Betriebsspannung regelt und auf diese Weise nach 
auBen hin diesen Betriebsparameter vergleichsweise ver~ 
rauscht. 

W Besondere Vorteile entfaltet der erf indungsgemaJie integrierte 
25 Schaltkreis in einer Anordnung mit einem zweiten Speicher, 
der mittels eines Datenbusses mit dem erf indungsgemaBen in- 
tegrierten Schaltkreis in Verbindung steht, in welchem zwei- 
ten Speicher Daten oder Programmcode verschlussel t abgelegt 
sind und der Speicherzellen aufweist, welche jeweils eine 
30 Speicheradresse aufweisen und jede Speicherzelle direkt le- 

send oder schreibend angesprochen werden kann. Urn die gesamte 
Anordnung gegenuber dem Ausfall einer externen Spannungsver- 
sorgung abzusichern, ist es zweckmaBig, wenn sie mit einer 
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Batterie in Verbindung steht, so dass die Spannungsversorgung 
bei einem Fehlen anderer Energieversorgung auf rechterhaltend 
ist. Insofern iassen sich auch Kosten einsparen, wenn der 
zweite Speicher kostengunstig fluchtig ausgebildet und mit- 
5 tels der Batterie abgepuffert ist. 

Ersatzweise oder in Erganzung zu dem zweiten Speicher kann 
ein dritter Speicher zweckmaftig sein, der mit dem integrier- 
ten Schaltkreis mittels eines Datenbusses in Verbindung steht 
10 und nicht fluchtig ausgebildet ist, insbesondere als Flash 
oder ROM ausgebildet ist, wobei in dem dritten . Speicher die 
Date.n oder Programmcode vorzugsweise verschlusselt abgelegt 
sind . 

15 Besonders vorteilhaft ist eine Abpufferung der Sicherheits- 

sensorik mittels einer Batterie. Alternativ oder in Erganzung 
zu dieser Maftnahme kann eine in dem Gehause integrierte 
Hilf senergiequelle, beispielsweise ein Kondensator, vorgese- 
hen sein, welcher die Energie im Falle eines registrierten 

20 Manipulationsversuches zum Loschen der Speicher, insbesondere 
des ersten Speichers, bereitstel.lt. 

Im Foigenden ist die Erfindung anhand eines spezielien Aus- 
fuhrungsbeispiels zur Verdeutlichung naher beschrieben. Neben 
25 diesem Ausf uhrungsbeispiel ergeben sich fur den Fachmann aus 
der hier beschriebenen Erfindung zahlreiche andere Moglich- 
keiten der Gestaltung. Insbesondere sind der Erfindung auch 
Merkmalskombinationen zuzurechnen, welche sich aus Kombinati- 
onen der Anspruche ergeben, auch wenn kein ausdruckiicher 

* 

30 dementsprechender Ruckbezug angefuhrt ist. Es zeigen: 

Figur 1 eine schematische Darstellung einer erf indungsgema- 

Ben Anordnung. 

6 
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■ Figur 1 zeigt ei'nen integrierten Schaltkreis 1 mit verschie- 
denen Funktionsmodulen 2, der mit externen Bauelementen 3 in 
Verbindung stent. Der integrierte Schaltkreis weist neben ei- 
ner zentralen Verarbeitungseinheit 4 noch weitere Funktions- 
5 module 2 auf, namlich einen Cachespeicher 5, eine Verschlus- 
selungseinheit 6, einen ersten Speicher 7, eine Real-Time- 
Clock 8, einen Zuf allszahlengenerator 80 und eine Sicher- 
heitssensorik 9. Daneben sind ein Spannungsregler 10 und eine 
Hilf senergiequelle 12 integrierte Bauelemente des als Halb- 
.0 leiterchip 13 ausgebildeten integrierten Schalt kreises 1. Die 
zentrale Verarbeitungseinheit 4 verarbeitet Daten oder fuhrt 
Programme aus, welche sie mittels eines ersten Datenbusses 15 
aus dem Cachespeicher 5 ausliest. 

15 Der Cachespeicher 5 steht mit der Verschlusselungseinheit 6 
mittels eines zweiten Datenbusses 16 in Verbindung. Die Ver- 
schlusselungseinheit 6 liest aus dem zweiten oder dritten 
Speicher 40, 41 mittels des Adress-Datenbusses 32 die ver- 
schlusselten Daten bzw. Code ein, entschlusselt sie mittels 
20 des im ersten Speicher 7 abgelegten kryptograf ischen Schius- 
sels 18 und schreibt sie in den Cache bzw. in andere interne 
Register der zentralen Verarbeitungseinheit 4. Die kryptolo- 
gischen Schlussel 18 sind zuvor von dem Zuf allszahlengenera- 
tor 80 erzeugt worden. Der Zuf allszahlengenerator 80 verwen- 
25 det zur Erzeugung der kryptograf ischen Schlussel 18, welche 
im ersten Speicher 7 abgelegt sind beispielsweise die Start- 
werte aus den stati stischen Schwankungen (Rauschen) von in- 
ternen, physikalischen MessgroBen, wie Chiptemperatur , Ver- 
sorgungsspannung, Taktf reguenz . 

30 

Die Sicherheitssensorik 9 ttberwacht neben der Betriebstempe- 
ratur T, der Betriebsspannung U, der Taktfrequenz f auch den 
ohmschen Widerstand R einer Schut zschicht 20, welche aus zu- 
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einander im Wesentlichen parallelen Bahnen einer elektrischen 
Leitung 21 besteht, die direkt auf dem Die des Halbleiter- ' 
chips 13 aufgebracht sind. Der gemessene Widerstand R wird 
permanent mit einem Grenzwert verglichen, und bei Uberschrei- 
tung des Grenzwertes veranlasst die zentrale Verarbeitungs- 
einheit 4 die Loschung des ersten Speichers 7, wobei der in- 
tegrierte Schaltkreis 1 anschliefiend in einen gesicherten Zu- 
stand, beispieisweise Reset, uberfuhrt wird. 

Der integrierte Schaltkreis 1 ist von einem Gehause 30 umge- 
ben, welches Anschlusskontakte 31 aufweist, die zumindest 
teilweise mit einem Adress-Datenbus 32 in Verbindung stehen. 
Mittels des Adress-Datenbusses 32 tauscht der integrierte 
Schaltkreis 1 Daten mit einem zweiten Speicher 40 und einem 
dritten Speicher 41 aus. Der zweite Speicher 40 ist als 
fluchtiges RAM ausgebildet und mittels einer Batterie 43 gc- 
gen Spannungsausf all ebenso wie der integrierte Schaltkreis 1 
abgesichert. Der dritte Speicher 41 ist nicht fluchtig als 
Flash oder ROM ausgebildet. Die in dem zweiten Speicher 4 0 
und dritten Speicher 41 abgelegten Daten sind unter Verwen- 
dung der kryptologischen Schiussel 18 verschlusselt und war- 
den bei jedem Zugriff mittels der Verschlusselungseinheit 6 
verschlusselt oder entschlusselt . 
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Patentanspriiche 

1. Integrierter Schaltkreis (1) mit Funktionsmoduien (2), 
wobei die Funktionsmodule (2) eine zentrale Verarbei- 
tungseinheit (4), mittels welcher Daten verarbeitbar und 
Programme ausfuhrbar sind, und einen Cachespeicher (5) 
umfassen, dadurch gekennzeichnet, 
dass die Funktionsmodule (2) eine Verschlusselungsein- 
heit (6) umfassen, mittels welcher Daten verschlusselbar 
und entschliisselbar sind. 

2. Integrierter Schaltkreis (1) nach Anspruch 1, da- 
durch gekennzeichnet, dass die Funkti- 
onsmodule einen Zuf allszahlengenerator (80) umfassen. 

3. Integrierter Schaltkreis (1) nach Anspruch 1, da- 
durch gekennzeichnet, dass die Funkti- 
onsmodule (2) einen ersten Speicher (7) umfassen, in 
welchem kryptologische Schlussel (18) abgespeichert 
sind. 

4. Integrierter Schaltkreis (1) nach Anspruch 2 und 3, 
dadurch gekennzeichnet, dass krypoto- 
logische Schlussel (18), welche in dem ersten Spei- 
cher (7) abgespeichert sind, mittels des Zuf allszahlen- 
ganerators (80) erzeugt sind. 

5. Integrierter Schaltkreis (1) nach Anspruch 1, da- 
durch gekennzeichnet, dass die Funkti- 
onsmodule (2) eine Real-Time-Clock (8) umfassen. 

6. Integrierter Schaltkreis (1) nach Anspruch 1, da- 
durch gekennzeichnet, dass die Funkti- 
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onsmodule (2) eine Sicherheitssensorik (9), mittels de- 
rer mindestens ein Betriebsparameter (f, T, U) des in- 
tegrierten Schaltkreises (1) uberwachbar ist, umfassen. 

7. Integrierter Schaltkreis (1) nach Anspruch 6, d a - 
durch gekennzeichnet, dass der Be- 
triebsparameter (f, T, U) die Taktfrequenz (f) der Real- 

i- 

Time-Ciock (8) und/oder eine Betriebstempera tur (T ) an 
einer Stelle des Integrierten Schaltkreises (1) und/oder 
eine Bet riebsspannung (U) des integrierten Schaltkrei- 
ses (1) und/oder der Zustand einer Schutzschicht (20) 
auf dem Integrierten Schaltkreis (1) ist. 

8. Intearierter Schaltkreis (1) nach Anspruch 6, da- 
durch gekennzeichnet, dass fur den zu 
uberwachenden Betriebsparameter (f, T, U) mindestens ein 
Grenzwert vorgegeben 1st, der Betriebsparameter (f, T , 
U) gemessen wird und mit dem Grenzwert verglichen wird 
und bei einem Oberschreiten oder Unterschreiten des 
Grenzwertes der Inhalt des er sten ^Speichers geloscht 
wird . 

9. Integrierter Schaltkreis (1) nach Anspruch 1, d a - 
durch gekennzeichnet, dass er in einem 
Gehause (30) angeordnet ist und aus dem Gehause (30) 
herausgef uhrte Anschluss kontakte (31) aufweist. 

10. Integrierter Schaltkreis (1) nach Anspruch 1, d a - 
durch gekennzeichnet, dass einzelne 
Funktionsmodule (2) eine im Wesentlichen flachige Er- 
streckung aufweisen und in Richtung der Flachennormalen 

■ benachbart zueinander angeordnet sind. 

10 
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11. Integrierter Schaltkreis (1) nach Anspruch 1, d a - 
durch gekennzeichnet, dass die Funkti- 
onsmodule (2) einen integrierter. Spannungsregler umfas- 
sen, welcher eine Betriebsspannung (U) regelt. 

12. Integrierter Schaltkreis (1) nach Anspruch 1, d a - 
durch gekennzeichnet, dass er als Halb- 
leiterchip (13) ausgebildet ist. 

13. Integrierter Schaltkreis (1) nach Anspruch 12, d a - 
durch gekennzeichnet, dass Halbleiter- 
strukturen der einzelnen Funkt ionsmodule (2) puzzleartig 
ineinander greifen, zur Vermeidung, dass einzelne Funk- 
tionsmodule (2) erkennbar sind. 

14. Integrierter Schaltkreis (1) nach Anspruch 12, d a - 
durch gekennzeichnet, dass direkt auf 
dem Die des Halbleiterchips (13) eine aktive Schutz- 
schicht (20) aufgebracht ist, welche aus mindestens ei- 
ner langlicheri "elektrischen Leitung (21) besteht, welche 
entlang der Oberflache des Dies, insbesondere ab- 
schnittsv/eise in zueinander parallelen Bahnen verlauft. 

15. Anordnung mit einem integrierten Schaltkreis (1) nach 
einem der Anspruche 1 bis 14, d a d u r c h ge- 
kennzeichnet, dass der integrierte Schalt- 
kreis (1) mittels eines Datenbusses (32) mit einem zwei- 
ten Speicher (40) [RAM] in Verbindung steht, in welchem 
Daten verschlusselt abgelegt sind, wobei der zweite 
Speicher (40) Speicherzellen aufweist, welche jeweils 
eine Speicheradresse aufweisen und jede Speicherzelle 
direkt lesend oder schreibend angesprochen werden kann. 
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16. Anordnung mit einem integrierten Schaltkreis (1) nach 
einem der Anspruche 1 bis 14, dadurch g e - 
kennzeichnet, dass der zweite Speicher (40) 
fluchtig ist und mit einer Batterie (43) in * Verbindung 
steht, so dass die Spannungsversorgung bei einem Fehlen 
anderer Energieversorgung auf rechterhalten ist. 

17. Anordnung mit einem integrierten Schaltkreis (1) nach 
einem der Anspruche 1 bis 14, dadurch g e - 
kennzeichnet, dass der integrierte Schalt- 
kreis (1) mittels eines Datenbusses (32) mit einem 
nichtfluchtigen dritten Speicher (41), insbesondere ei- 
nem Flash oder ROM in Verbindung steht, in welchem Daten 
Oder Programmcode verschlOsse.lt abgelegt sind. 

18. Anordnung mit einem integrierten Schaltkreis (1) nach 
Anspruch 6, dadurch g e k e n n z e i c h n e t , 
dass die Sicherheitssensorik (9) mit einer Batterie (43) 
in Verbindung steht, so dass die Spannungsversorgung bei 
einem Fehlen anderer Energieversorgung auf rechterhalten 
ist . 

19. Anordnung mit einem integrierten Schaltkreis (1) nach 
Anspruch 6, dadurch ge kennzeichnet, 
dass die Sicherheitssensorik (9) mit einer in dem Gehau- 
se (30) integrierten Hilf senergiequelle (12) in Verbin- 
dung steht, weiche die Energie zum Loschen ersten Spei- 
chers (7) bereit stellt . 
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Zusammenf as sung 

Anordnung mit einem integrierten Schaltkreis 

5 Die Erfindung betrifft einen Integrierten Schaltkreis (1) mit 
Funktionsmodulen (2), wobei die Funktionsmodule .(2) eine 
zentrale Verarbeitungseinheit (4), mittels welcher Daten ver- 
arbeitbar und Programme ausfuhrbar sind, und einen Cachespei- 
cher (5) umfassen. Die Gewahrleistung einer Manipulationssi- 
10 cherheit derartiger Module ist bislang sehr aufwendig und 

geht mit hchen Kosten einher. Hier schafft die Erfindung Ab- 
hilfe, indem die Funktionsmodule (2) eine Verschlusselungs- 
einheit (6) umfassen, mittels welcher Daten verschlusselbar 
und entschliisselbar sind. 
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Bezugs zeichenliste 

1 Intearierter -Schalt kreis 

2 Funktionsmodul 

3 Externe Bauelemente 

4 zentrale 
Verarbeitungseinheit 

5 Cachespeicher 

6 Verschlusselungseinheit 

7 ersten Speicher 

8 Real-Time-Clock 

9 S i cherheits sensor ik 

10 Spannungsregler 

12 Hi If senergiequelle 

13 Halbleiterchip 

15 erster Datenbus 

16 zweiter Datenbus 

17 dritter Datenbus 

18 kryptologische Schlussel 

20 S ch u t z s ch i ch t 

21 Elektrische Leitung 

30 Gehause 

31 Anschlusskontakte 

32 Adres s- Datenbus 

40 zv/eiter Speicher 

41 dritter Speicher 
43 Batterie 

8 0 Zuf allszahlengenerator 

f Taktfrequenz 

R Widerstand 

T Betriebstemperatur 

U Betriebsspannung 



